【日经BP社报道】 6月11日以后，邮件列表等媒体相继刊出了Internet Explorer（IE）与Mozilla发现安全漏洞的消息。如果恶意利用这些漏洞，就会在地址栏中显示与实际访问网站不符的URL。如果使用IE，可能会用限制较低的“Intranet”区域与“受信任的站点”区域来解释“互联网区域”的网页。这些漏洞都是极有可能被在线欺诈“phishing”恶意利用的安全漏洞（参阅本站报道）。对策是尽量“不要点击可疑的链接”、“在被链接所引诱到的Web网页，不要轻易输入个人信息”。

　　安全产品开发商丹麦Secunia在Web网页上公开了有关这些安全漏洞的信息。据该公司的资料称，IE 6与Mozilla 1.x中都存在URL的处理问题。因此，只要对包含在链接中的URL做过手脚，用户点击这一链接后，IE与Mozilla地址栏中就会显示出与实际访问的网页不同的URL。

　　具体而言，如果是“http://[trusted_site]（某字符串）[malicious_site]/”，会在地址栏中显示“http://[trusted_site]（任意空格）[malicious_site]”。因此，实际上访问的是malicious_site网页，但看起来访问的却是trusted_site网页。

　　而且在使用IE时，不仅只是伪装地址栏，还可能绕开安全设置，如在上述例子中，即使访问的站点是malicious_site，也会应用trusted_site的安全设置。具体来说就是，即使malicious_site网页是互联网区域的网页，在trusted_site添加在Intranet区域与受信任的站点区域的情况下，也可以把malicious_site网页解释为Intranet区域与受信任的站点区域的网页。

　　虽说这样，并非任何网站都能恶意利用此次的安全漏洞。在上述例子中，只有malicious_site的域名支持wildcard DNS，并且可以接受不恰当的“Host”报头时，才有可能被恶意利用。

　　由于不断发现伪装地址栏等的安全漏洞，因此目前各厂商还来不及增加修正补丁，而且今后可能还会发现同样的安全漏洞。作为用户来说，不要点击可疑的链接自不用说，不要过于相信在地址栏等中的“所见”也是非常重要的。Secunia提出的对策是“不要点击不可靠的Web网页与邮件链接”、“自己在地址栏中输入URL”等。对于IE，还提出“所有区域均把安全水平设为‘高’”，但Secunia自己就注有“This will impair functionality on many web sites”的字样，因此恐怕不太现实。（记者：胜村 幸博）